O que chegou de novo?
Pesquisadores da Universidade de Tecnologia de Graz, na Áustria, revelaram uma vulnerabilidade significativa que permite a um site malicioso identifiquem outros sites e aplicativos abertos pelo utilizador. Este ataque, denominado FROST, utiliza JavaScript na sandbox do navegador para medir a latência de acesso ao SSD, com uma precisão alarmante de 89% para sites e 96% para aplicações.
Por dentro da máquina (Análise Técnica)
O FROST explora o Origin Private File System (OPFS), uma API que possibilita que sites criem e armazenem arquivos no disco local do utilizador sem o seu consentimento. Diferente de ataques de canal lateral anteriores, que exigiam permissões elevadas e código nativo, o FROST simplifica significativamente o processo, tornando-se uma ameaça mais facilmente executável.
Durante os testes, os investigadores conseguiram criar um arquivo OPFS que ocupava até 60% do espaço do SSD, o que é notável, especialmente em dispositivos de 256 GB, representando uma perda de mais de 150 GB. O ataque analisa picos de latência nas leituras a partir deste grande arquivo durante outras operações I/O, o que permite identificar as aplicações e sites abertos. Curiosamente, este ataque funcionou em diferentes navegadores, apresentando apenas uma diferença de rendimento de 3,38% entre o Chrome e o Safari.
Vale destacar que este ataque foi validado num Mac Mini M2 com 8 GB de RAM e um SSD de 256 GB. No entanto, a eficácia do ataque em sistemas Windows ainda não foi avaliada, e o requisito de que o arquivo OPFS esteja na mesma unidade física monitorada é uma limitação.
Vale a pena o investimento?
Embora a técnica FROST tenha revelado uma vulnerabilidade considerável, as grandes quantidades de espaço que o ataque consome podem ser uma barreira significativa para a sua execução a partir do ponto de vista prático. A maior parte dos utilizadores certamente notaria a falta repentina de espaço no disco. Apesar disso, os investigadores sugerem que limitações no tamanho dos arquivos OPFS ou a necessidade de permissão explícita para sua criação poderiam ser mitigadoras eficazes.
🔥 Dica do Técnico: Encontra gadgets e peças de reparação a preços incríveis.
Ver Ofertas Flash ⚡*Ao comprar através deste link, apoias o site sem custo extra.
Com o Google a não classificar este ataque como uma vulnerabilidade de segurança, é pouco provável que sejam implementadas correções em breve. Portanto, deve-se ter cautela em relação ao uso de navegadores sem as devidas precauções de segurança.
Veredito do Técnico
O FROST representa um avanço preocupante na capacidade de rastreamento e identificação de utilizadores online. Os utilizadores devem estar atentos às suas práticas de navegação e considerar medidas de segurança adicionais.
🔧 Gostaste desta análise?
Mantemos o HotNews Tech online graças a leitores como tu. Se estás a pensar comprar algum gadget, ferramentas ou peças, usa o nosso link.
Não pagas nem mais um cêntimo e ajudas-nos a criar mais conteúdo!